Ashley Madison é um site canadense com estrutura semelhante a uma rede social que conecta pessoas em busca de casos extraconjugais, aventuras secretas com parceiros diferentes dos habituais ou simplesmente novos encontros. O serviço é pago e para se cadastrar você precisa fornecer vários dados pessoais, como nome, sobrenome, data de nascimento, nacionalidade, altura, peso, cor dos olhos e cabelos e endereço de e-mail.
Para ativar determinadas funções do site, os hóspedes podem comprar, usando métodos de pagamento que incluem o cartão de crédito, uma série de pacotes de associação autorrenováveis com os quais você pode interagir com outros usuários. Neste ponto, cada conta ativa pode ser conectada a uma conta bancária e, portanto, a uma identidade precisa.
Bem, todos esses dados, junto com todas as referências úteis para fazer uma coleta ordenada, foram divulgado na internet no final de julho. Existe, portanto, a possibilidade de conhecer todos os nomes e sobrenomes daqueles que, por diversão ou por real intenção de trair, utilizaram – e também é possível saber como – os serviços do site Ashley Madison.
A violação, que levou o CEO a renunciar Noel Biderman, foi reivindicado por um grupo de hackers que se autodenominam “equipe de impacto“. O motivo? O site, segundo os responsáveis pelo ataque cibernético, não apresentava um número equilibrado de "usuárias" ativas em relação aos usuários do sexo masculino.
Deixando de lado os aspectos legais, as terríveis consequências – dois americanos e um canadense se suicidaram pelo constrangimento de terem que explicar a presença de seus nomes na lista para suas parceiras – e o aspecto grotesco da história, algumas conclusões podem certamente ser extraídos ensinamentos relativos à gestão da segurança de dados na Internet, mas também - e infelizmente - bom senso.
Em primeiro lugar, o "Trusted Security Award" que se destaca na página inicial do site Ashley Madison, bem como o ícone do cadeado "SSL Secure Site" mostram que os padrões de segurança não são de todo suficientes para fazer os entregadores dormirem tranquilos em nas mãos de outras pessoas tais informações confidenciais e pessoais.
O fato de aproximadamente 15.000 endereços de e-mail usados para registro terem terminação “.gov” ou “.mil”, fala muito sobre a facilidade adotada pelo usuário médio no uso das ferramentas de TI disponibilizadas em seu ambiente de trabalho, para fins pessoais.
As senhas não eram armazenadas em texto não criptografado, mas por meio do sistema bcrypt. No entanto, mesmo essa proteção parece estar com os dias contados. Muitos dos executivos da Ashley Madison tinham contas no site e usavam os serviços que eles ofereciam. E eles foram os primeiros a violar mais regras básicas de gerenciamento de segurança de terceiros e seus próprios dados. Em seus arquivos estavam os historiadores de sete anos de transações com cartão de crédito e as senhas de outros sistemas de pagamento como o PayPal, que pareciam ter as conotações típicas de baixa confiabilidade: palavras curtas, repetidas e fáceis de adivinhar.
Sem contar quem já usou até o serviço de mensagens da Facebook, que vincula de forma inequívoca a identidade da pessoa à conta no Ashley Madison, para se cadastrar no site.
Existe uma operação que, agora, muitos usuários casuais do site de encontros estão fazendo sem perceber que correm o risco de piorar a situação: buscar o próprio nome, conta, e-mail, dentro dos diversos sites que surgiram como cogumelos, para ver se faz parte dos divulgados na Internet. Tão simples e rápido como fazer uma pesquisa no Google, sem ter que ir e descarregar toda a quantidade de dados, mas o risco é que estes banco de dados posso coletar e revelar precisamente aquela informação confidencial que se teme ter sido divulgada, mas que ainda não o foi ou que aguarda uma simples confirmação...
Uma dessas ferramentas, por exemplo, envia e-mails para pessoas cujo endereço foi pesquisado por alguém dentro do mecanismo de busca e depois oferecer conselhos sobre como agir ou como saber mais sobre sua suposta presença na lista.
Moral da história: na internet, apesar do chamado “era da nuvem“, confiar seus dados – mais ou menos comprometedores – a terceiros desconhecidos não garante que o cuidado que os algoritmos e as mãos especializadas possam ter seja maior do que aquele que o legítimo proprietário teria. Distribua esses dados online por conveniência, também representa um considerável fator de risco aumentado.
